В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MaxPatrol SIEM

979 membersпожаловаться на группу
2020 April 10

e

e6e6e in MaxPatrol SIEM
Есть ТС, которые используются непосредственно для мониторинга (т к через ТС есть возможность агрегировать инфу из нескольких типов событий). Аналитик/оператор СИЕМ видит потенциальный инцидент и для его верификации и дальнейшего расследования ему необходимо провалиться в исходное событие (иногда скоррелированное), сейчас это делается через отдельное поле с uuid события.
источник
00:17пожаловаться#1

RS

Roman Sergeev in MaxPatrol SIEM
я вот безотносительно всего остального сразу скажу, что вы, вероятно, делаете одну ошибку, которая создаёт нагрузку на ES
вы потом по этому uuid событие ищете?
без фильтра по времени?
сохранять надо и uuid и time
такая "ссылка" будет работать эффективно и быстро
источник
00:22пожаловаться#2

RS

Roman Sergeev in MaxPatrol SIEM
по остальному же
пока что вам придётся обходить это через обогащение
источник
00:22пожаловаться#3

RS

Roman Sergeev in MaxPatrol SIEM
в плане удобства работы это ад, конечно, если только вы не написали свой Response UI вокруг и сверху
источник
00:23пожаловаться#4

e

e6e6e in MaxPatrol SIEM
Roman Sergeev
я вот безотносительно всего остального сразу скажу, что вы, вероятно, делаете одну ошибку, которая создаёт нагрузку на ES
вы потом по этому uuid событие ищете?
без фильтра по времени?
сохранять надо и uuid и time
такая "ссылка" будет работать эффективно и быстро
time - _last_changed
Мониторинг оперативный, выборка за всё время не требуется.
источник
00:24пожаловаться#5

RS

Roman Sergeev in MaxPatrol SIEM
более того, скоро без time искать будет нельзя
готовьтесь к этому
источник
00:24пожаловаться#6

RS

Roman Sergeev in MaxPatrol SIEM
e6e6e
time - _last_changed
Мониторинг оперативный, выборка за всё время не требуется.
а, ок
не зря я написал "вероятно"
единственное, не полагайтесь на то, что оно всегда будет совпадать
даже сейчас можно, полагаю, нарваться на переход секунды
так что делайте интервальный фильтр
источник
00:24пожаловаться#7

e

e6e6e in MaxPatrol SIEM
Roman Sergeev
а, ок
не зря я написал "вероятно"
единственное, не полагайтесь на то, что оно всегда будет совпадать
даже сейчас можно, полагаю, нарваться на переход секунды
так что делайте интервальный фильтр
Да, про это в курсе. Обвязки пока немного.
источник
00:26пожаловаться#8

RS

Roman Sergeev in MaxPatrol SIEM
гипотетически вам бы пригодился специальный тип данных в ТС - коллекция ссылок на события (или другие сущности в системе) с отображением, позволяющим рендеринг гиперссылки и превью (типа мини-карточки актива)
источник
00:28пожаловаться#9

RS

Roman Sergeev in MaxPatrol SIEM
и это важнее лишнего обогащения, которое пишется один раз на несколько корреляций, потому что разгружает первую линию
источник
00:29пожаловаться#10

RS

Roman Sergeev in MaxPatrol SIEM
вот так табличный список превратился в кусочек IRP )))
источник
00:30пожаловаться#11

e

e6e6e in MaxPatrol SIEM
Roman Sergeev
гипотетически вам бы пригодился специальный тип данных в ТС - коллекция ссылок на события (или другие сущности в системе) с отображением, позволяющим рендеринг гиперссылки и превью (типа мини-карточки актива)
Вообще - да. Но это скорее решение вытекающее из текущего костыля.
источник
00:32пожаловаться#12

Z

Zer🦠way in MaxPatrol SIEM
Драсте
источник
14:29пожаловаться#13

Z

Zer🦠way in MaxPatrol SIEM
StoneGate из коробки не разбираете?
источник
14:29пожаловаться#14

Z

Zer🦠way in MaxPatrol SIEM
в рефгайде его не нахожу, видимо нет....
источник
14:29пожаловаться#15

AP

Andrei Potseluev in MaxPatrol SIEM
Zer🦠way
StoneGate из коробки не разбираете?
Закопайте его обратно, чего над пенсионером издеваться? 😊
источник
14:30пожаловаться#16

Z

Zer🦠way in MaxPatrol SIEM
Andrei Potseluev
Закопайте его обратно, чего над пенсионером издеваться? 😊
дайте денег
источник
14:31пожаловаться#17

Z

Zer🦠way in MaxPatrol SIEM
а еще дайте расейское рабочее
источник
14:31пожаловаться#18

Z

Zer🦠way in MaxPatrol SIEM
ведь кроме расейского ничего покупать нельзя...
источник
14:31пожаловаться#19

AP

Andrei Potseluev in MaxPatrol SIEM
Zer🦠way
а еще дайте расейское рабочее
StoneGate так тоже не российский. 😊 Хотя, финны нам ближе, чем америкосы, да. 😊
источник
14:31пожаловаться#20